Es ist möglich, die Anwendungsserver in ein anderes Subnetz zu legen als die Frontendserver

Question

Es ist möglich, die Anwendungsserver auf ein anderes Subnetz einzufügen, das Front-End-Servern in SharePoint 2013,

Was sind die Vorteile und Nachteile, was darauf hinweist, dass dies eine Internet-Anwendungsanwendung ist

Answer 1

ja. Es ist Ihnen vollkommen möglich, dies zu tun, unabhängig davon, welche Ausgabe von SharePoint Sie verwenden.

ist mehr von der Netzwerkkonfiguration, in der Sie sicherstellen müssen, dass der Anwendungsserver und die Web-Front-End-Server für alle spezifischen Anwendungen miteinander verbunden sind, in denen Dienstanwendungen und Ihre Webanwendungen ausgeführt werden.

Der Router / Firewall muss "nur" die erforderlichen Anschlüsse zwischen den von SharePoint verwendeten Subnetzen zulassen. Normalerweise möchten Sie diese Ports zwischen den Subnetzen öffnen, aber nicht auf: -

tcp / 135,
TCP / 445 - Microsoft DS,
UDP / 137 - NetBIOS Name,
Dynamische Ports - 49152 bis 65535 für RPC-Zufallsanschlüsse für Berichtsdienstleistungen.
32843.32844 (SP-Webdienste über http und https)

Zusätzlich lässt sich der Netzwerkabstand (* hops) zwischen dem Appserver und dem WFE-Subnetz, die besseren Gesamtlatenzsergebnisse, die Sie haben werden, besser. Teilen Sie Ihre IT / Network-Jungs dafür ein.

Aus Sicherheitsansicht fungiert es als Isolationspunkt -, der Ihre WFE-Kompromisse beeinträchtigt werden, dass er den Angreifer immer noch zusätzliche Anstrengungen dauert, um den gesamten Farm zu beeinträchtigen. Vermeht den zentralen Administrator nicht lieber auf dem WFE. Ich denke immer noch, dass sie verschiedene Möglichkeiten sind, wie Ihre Anwendungsserver noch von einem verwurzelten WFE beeinträchtigt werden können.

Differenzierung nur auf der Grundlage von Subnetz wird nicht als "Einmal- und für alle" Lockdown betrachtet.